一項重大安全漏洞讓超過 14,500 個 Tron 加密貨幣錢包面臨損失,數百萬美元資產可能被竊取。根據 AMLBot 安全公司提供給 Cointelegraph 的報告,僅 2024 年最後一季就有 2,130 個錢包受到影響,這些錢包約持有 3,150 萬美元的數位資產。
這種攻擊極為隱蔽,與傳統駭客入侵迅速掏空資金不同,攻擊者能夠在不被察覺的情況下持續掌控錢包。他們阻止合法的出金交易,使真正的擁有者無法動用資金。受害者可能毫無察覺地繼續充值,讓駭客不費吹灰之力把資產據為己有。
AMLBot 技術長 Mykhailo Tiutin 指出,受害者通常難以察覺錢包已被攻陷。一名不具名的受害者為避免遭進一步攻擊,分享自己在毫不知情下,將額外 1,000 USDT 轉進錢包。如果資金直接被盜,問題會馬上顯現。
Tron 的 UpdateAccountPermission 交易本是為提升帳戶安全,具備多重簽名等功能,可分配角色給不同金鑰、設定門檻授權。然而當攻擊者取得私鑰後,就能加進自己的金鑰、通過授權門檻,有效封鎖原本持有者的存取權。
Tiutin 強調,當有新金鑰加入時,系統並未發送通知,持有人須等出現異常時才會發現異狀。即便發現問題,受害者能採取的措施有限,目前建議立刻停止將資產存入受損錢包。
Rome Protocol 聯合創辦人 Sattvik Kansal 指出攻擊的嚴重性,若無駭客私鑰幾乎不可能取回款項。Tron 官方目前尚未回應事件。
UpdateAccountPermission 的設計原意是為了多方協作帳戶控管,減少未經授權的交易,也有助於鏈上去中心化治理,強化多重簽名安全。個人用戶同樣能透過多重金鑰提升帳戶安全。
其實,不僅 Tron 面臨區塊鏈功能被濫用的問題,Ethereum 也常見如「approve」與「permit」等基本功能遭釣魚詐騙利用,造成大量損失。安全公司 Scam Sniffer 報告,僅 2024 年 11 月因釣魚詐騙導致損失就達 938 萬美元,其中 Ethereum 損失金額占相當比重。
相比過往損失數據,損失額下降顯示錢包安全防護提升,使用者教育也有所進步。這些防範措施對杜絕釣魚詐騙至關重要。
防止 UpdateAccountPermission 遭濫用的關鍵在於妥善管理私鑰。這是操作帳戶權限時不可缺少的核心資產。Dowsers 首席安全研究員 Axel Leloup 強調,必須了解 Tron 權限系統運作並定期審查。他建議使用者離線安全存放私鑰,避免與不信任對象分享。
上述不具名受害者正是因操作安全不善,私鑰曝光在多台設備的原始碼中,導致錢包遭攻。他也建議用戶盡量減少錢包內的 TRX 餘額,並選用可讓 USDT 交易無需燃燒 TRX 的錢包,因為使用 UpdateAccountPermission 功能需支付 100 TRX 手續費。
隨著釣魚詐騙日益精密,Ethereum 與各區塊鏈使用者務必加強保護措施,以保障數位資產安全。